klar

Behördliche Datenschutzbeauftragte

Nach § 8 a Abs. 1 des Niedersächsischen Datenschutzgesetzes (NDSG) ist jede öffentliche Stelle, die personenbezogene Daten automatisiert verarbeitet, verpflichtet, sogenannte behördliche Datenschutzbeauftragte (behDSB) zu bestellen. Gemäß § 8a Abs. 1 S. 2 und 3 NDSG können auch sog. externe DSB, die nicht der datenverarbeitenden Stelle angehören, mit dieser Aufgabe betraut werden.


I. Aufgaben

Die behDSB

  • unterstützen die öffentliche Stelle bei der Sicherstellung des Datenschutzes und
  • wirken auf die Einhaltung der datenschutzrechtlichen Vorschriften hin.

    Alle Personen, die sich durch eine öffentliche Stelle in ihrem Recht auf informationelle Selbstbestimmung verletzt fühlen, können sich nach § 8a Abs. 3 S. 4 NDSG mit ihrem Begehren unmittelbar an die oder den behDSB wenden. Die oder der behDSB nimmt insoweit eine datenschutzrechtliche Ombudsfunktion ein.

    Da die Art und Weise der Aufgabenwahrnehmung der öffentlichen Verwaltung zunehmend durch die Nutzung neuer Technologien und Medien bestimmt wird, sind die behDSB auch im Zuge des technischen Wandels stets vor neue Herausforderungen gestellt, wenn es darum geht, in ihren Dienststellen auf einen datenschutzgerechten Einsatz dieser Technologien und Medien (Stichworte in diesem Zusammenhang sind u. a. Cloud Computing, Smartphones und Tablets, Soziale Medien) hinzuwirken.

    Die behDSB sind frühzeitig über geplante Verfahrender automatisierten Verarbeitung personenbezogener Daten zu unterrichten. Ihnen obliegen insbesondere folgende Aufgaben:


  • Beratung der Behördenleitung sowie einzelner Fachbereiche, Abteilungen und Ämter sowie aller Beschäftigten der öffentlichen Stelle in Fragen des Datenschutzes und der Datensicherung,
  • Durchführung der Vorabprüfung (sog. Vorabkontrolle) von automatisierten Verfahren, die wegen der Art der zu verarbeitenden Daten oder der Verwendung neuer Technologien und Medien besondere Risiken mit sich bringen,
  • Führung der Übersicht der Verfahrensbeschreibungen über die automatisierten Verarbeitungen,
  • Gewährung der Einsicht in die Verfahrensbeschreibungen für jedermann,
  • Bearbeitung von Eingaben von Beschäftigten der öffentlichen Stelle sowie von Bürgerinnen und Bürgern, die sich in ihrem Recht auf informationelle Selbstbestimmung betroffen fühlen.
  • Prüfung, ob das Gebot der Datenvermeidung und Datensparsamkeit (§ 7 Abs. 4 NDSG) eingehalten wird,
  • Überwachung der ordnungsgemäßen Anwendung der Verfahren, mit deren Hilfe personenbezogene Daten verarbeitet werden,
  • Prüfung, ob die technischen Maßnahmen (§ 7 NDSG) dem Stand der Technik entsprechen, um eine den Vorschriften des NDSG entsprechenden Schutz personenbezogener Daten vor unbefugter Kenntnisnahme, Veränderung und Verlust sicherzustellen,
  • Mitwirkung bei der Erstellung von Dienstanweisungen oder Dienstvereinbarungen nach dem Niedersächsischen Personalvertretungsgesetz (NPersVG) mit datenschutzrechtlichen Bezug - einschließlich der Überwachung der Einhaltung dieser Bestimmungen,
  • Mitwirkung bei der Festlegung des Schutzbedarfs an den einzelnen Arbeitsplätzen, auf denen sensitive personenbezogene Daten verarbeitet werden (z. B. im Hinblick auf besonders vertraulich zu handhabende Gesundheits- und Personalaktendaten),
  • Mitwirkung bei der Auftragsvergabe und Kontrolle der Umsetzung der datenschutzrechtlichen Vorgaben (§ 6 NDSG) beim Auftragnehmer,
  • Beratung in den Fragen der sicheren Aktenverwaltung, der informierenden und klaren Formulargestaltung, der datenschutzgerechten Vernichtung von Akten sowie der datenschutzgerechten Löschung von Dateien.
  • Schulung der bei der Verarbeitung personenbezogener Daten tätigen Personen in Grundfragen des Datenschutzes.

    II. Organisatorische Stellung

    Die behDSB sind in dieser Eigenschaft weisungsfrei, sie können sich unmittelbar an die Behördenleitung wenden und sollten z. B. im Organisationsplan in dieser Funktion der Behördenleitung zugeordnet werden (s. § 8a Abs. 2 S. 2 NDSG).


    III. Bestellung

    Die behDSB sind schriftlich zu bestellen (s. Muster auf meiner Homepage unter www.lfd.niedersachsen.de, unter der Rubrik „Service/Formulare und Hinweise").
    Die Bestellung und die Abberufung bedarf gemäß § 67 Abs. 1 Nr. 9 NPersVG der Mitbestimmung des Personalrats.

    Es liegt in der Verantwortung der Leitungsebene, in Abstimmung mit der Personalvertretung, dafür Sorge zu tragen, dass eine geeignete Person ausgewählt wird und die damit verbundenen organisatorische Maßnahmen zu treffen.

    Es empfiehlt sich gerade in größeren Behörden oder sonstigen Stellen, die in erheblichen Umfang personenbezogene Daten automatisiert verarbeiten, eine sachkundige Vertretung für Fälle der Abwesenheit zu bestellen. Durch die Vertretungsregelung wird eine kontinuierliche Aufgabenwahrnehmung gewährleistet. Verzögerungen bei der Aufgabenerledigung werden vermieden.

    Bei der Bestellung einer externen Person mit der Funktion eines behDSB, wird die Verantwortung für die Sicherstellung des Datenschutzes nicht abgegeben: Die Daten verarbeitende Stelle ist auch bei der Beauftragung externer Dienstleister für die Einhaltung der datenschutzrechtlichen Bestimmungen verantwortlich.
    Es muss darauf Wert gelegt werden, dass eine enge Bindung an den Auftraggeber erfolgt und zeitlich und organisatorisch eine häufige Präsenz des Funktionsträgers sichergestellt wird. Zudem muss sichergestellt sein, dass die oder der externe DSB jederzeit in die Organisation der verantwortlichen Stelle, die Datenverarbeitung-Verfahren und IT-Projekte "hineinschauen" kann und jederzeit "sprechfähig" ist. Zudem bedarf es zumindest der Benennung von Ansprechpartnern oder Vertretern vor Ort zwecks sachkundiger Unterstützung der oder des externen DSB und für Fälle der Abwesenheit.


    IV. Rechte und Pflichten

    Die öffentlichen Stellen haben die Beauftragten für den Datenschutz bei der Aufgabenerfüllung zu unterstützen.
    In der Praxis nehmen behDSB neben den ihnen gesetzlich zugewiesenen Aufgaben nach dem NDSG oftmals noch weitere Verwaltungsaufgaben wahr. Eine Kontrollbefugnis der (Fach-)Vorgesetzten besteht nur für den zuletzt genannten Aufgabenbereich (s. Ausführungen unter Ziffer V). Unabhängig von der organisatorischen Einbindung sind die behDSB in der Ausübung ihrer Funktion nach § 8a Abs. 2 S. 2 NDSG weisungsfrei. Sie können sich unmittelbar an die Behördenleitung wenden und dürfen wegen der Erfüllung ihrer Aufgaben nicht benachteiligt werden.


    V. Persönliche Voraussetzungen

    Gemäß § 8a Abs. 2 S. 1 NDSG darf nur zum behDSB bestellt werden, wer

    a) die erforderliche Sachkenntnis und

    b) die erforderliche Zuverlässigkeit besitzt und

    c) durch die Bestellung keinem Interessenkonflikt mit anderen dienstlichen Aufgaben ausgesetzt ist.


    Zu a):

    Sachkenntnis ist u. a. notwendig auf dem Gebiet der Datenverarbeitung, der Organisation und Rechtskenntnisse bezüglich der einschlägigen datenschutzrechtlichen Regelungen. Werden zum Zeitpunkt der Bestellung noch nicht alle Voraussetzungen erfüllt, so müssen jedenfalls die Bereitschaft und die Fähigkeit vorhanden sein, sich die erforderlichen Kenntnisse umgehend anzueignen. Allein das „IT-Interesse" einer Person reicht nicht aus, um die erforderlichen Sachkenntnisse zu haben.

    Zu c):
    Sofern die behDSB neben ihren Kontrollaufgaben noch weitere Verwaltungsaufgaben wahrnehmen, ist darauf zu achten, dass sie keinen Interessenkonflikten ausgesetzt sind.
    Die Behördenleitung selbst, die Leitung der Informations- und Kommunikationstechnik bzw. deren Stellvertretung oder die Leitung von Organisationseinheiten mit intensiver Verarbeitung personenbezogener Daten sollte deshalb nicht zu behDSB bestellt werden.
    Entsprechendes gilt für IT-Sicherheitsbeauftragte, sofern sie ändernden Zugriff auf die IT-Verfahren haben.
    Mitarbeiterinnen und Mitarbeiter in Personaldienststellen, die im Rahmen ihrer Funktion sehr viel mit personenbezogenen Daten, insbesondere Personalaktendaten, in Berührung kommen, sowie die Vorsitzenden von Personal- und Schwerbehindertenvertretungen, Gleichstellungs- und Frauenbeauftragte, sowie Korruptionsbeauftragte sollten ebenfalls nicht zu behDSB ernannt werden.

    VI. Ausstattung, Fortbildung

    Eine Prüfung der an die behDSB in dieser Funktion gerichteten E-Mails durch Fachvorgesetzte oder bereits die Kenntnisnahme dieser E-Mails durch Kolleginnen oder Kollegen bei Abwesenheitsvertretung würde deren gesetzlich gesicherte Unabhängigkeit sowie die vertrauliche Bearbeitung von Eingaben beeinträchtigen und ist daher unzulässig.
    Zwecks Gewährleistung einer sicheren und vertraulichen Kommunikation sollten die behDSB daher zumindest über


  • ein abgeschottetes elektronisches Postfach,
  • eine eigene E-Mail-Adresse
    (HINWEIS: Es bedarf keiner E-Mail-Adresse mit Namensbezug, folgende Bezeichnung reicht aus: „Datenschutz@Behördenbezeichnung.Niedersachsen.de"),
  • einen abgeschlossenen, separaten Einzelberatungsplatz und
  • abschließbare Schränke

    verfügen.

    Den behDSB ist für die erforderliche Sachkenntnis u. a. die Möglichkeit zur Teilnahme an fachspezifischen Fortbildungsveranstaltungen einzuräumen.



    Stand: 02.01.2015

    Die Landesbeauftragte für den Datenschutz Niedersachsen
    Prinzenstraße 5
    30159 Hannover
    Telefon 0511 120-4500
    Fax 0511 120-4599
    E-Mail an Ansprechpartner schreiben
zum Seitenanfang
zur mobilen Ansicht wechseln